事業継続のために、企業が遵守すべき法律やガイドライン

public-standard
Pocket

企業がビジネス活動を行う上で、避けて通ることができないのが法律やガイドラインです。
「法律」は必ず守らなければなりません。正しく準拠していないと、企業が業務停止に追い込まれ、事業の継続や企業としての存続が不可能な事態へ発展する可能性もあります。
「ガイドライン」は業界や業種などにより規定されています。「法律」とは違い必ずしも準拠する必要がないものもありますが、「ガイドライン」に準拠することにより事業継続の危機を回避できる場合もあります。

法律やガイドラインに準拠する意味とは

 企業が守るべき主な法律には、商法、会社法、民法などがあり、取引では手形法や小切手法が代表的なものです。加えて、業務形態や販売形態、扱う商品、業種や業界によっても、それぞれ守らなければならない法律があります。

  こうした法律を正しく守らないと、さまざまな罰則があるほか、訴訟に発展することもあります。さらには、銀行取引停止に至り倒産する可能性もあります。法律を守ることは、企業が存続していくための最低限の決まりであることを認識しましょう。

  一方、業種や業界によってそれぞれ定められている決まりにガイドラインがあります。ガイドラインは法律ほど厳密なものではありませんが、ガイドラインに準拠することで業界や業種を一定以上の水準にし、共通の認識を持つことを目的としています。またガイドラインには公的なものと私的なものがあり、私的なものは必ずしも準拠する必要はありません。

  ただし、ビジネス継続の観点では、ガイドラインに準拠しておくことで、ビジネス継続が危ぶまれる事態を回避できる可能性が高くなります。法律を守ることは当然ですが、多数あるガイドラインをそれぞれ正しく理解し、必要と思われるガイドラインには準拠すべきといえます。

 2017年に全面施行が予定される改正個人情報保護法

 個人情報保護法は、正式名称を「個人情報の保護に関する法律」といい、2005年に初めて施行されました。

 この法律施行以前にも個人情報の漏えい事故は発生していましたが、インターネットやパソコン、携帯電話などの普及により、漏えいする個人情報は紙ベースのものから電子的なデータとなりました。漏えいしたデータはインターネットを介して世界中で瞬時に売買することが可能となり、また個人情報にユーザーIDとパスワードが入っていれば、本人になりすましてサービスを利用されたり、クレジットカード情報が含まれていれば勝手に買い物をされてしまう可能性もあります。

 こうした被害から消費者を守るために、個人情報を取扱う事業者に対してその取り扱い方法を定めた法律が個人情報保護法です。そして、施行から10年を経て改正個人情報保護法が成立、2017年1月1日より全面施行されます。その背景には、多発する個人情報漏えい事件やスマートフォンのさらなる普及、そしてIoTがあります。IoTは「Internet of Things」の略で、「モノのインターネット」とも呼ばれます。

  IoTは、インターネット接続技術とセンサ技術の進化により、さまざまなモノがインターネットに接続され、データをやり取りするというものです。IoTにより収集される情報を分析することで、人の動きや購買傾向などを知ることができますので、マーケティングや商品開発に非常に有効です。しかし、IoTのデータには個人を特定できるものもあるので、使い方を誤ると深刻な個人情報の漏えいにつながってしまいます。漏えいしてしまった企業は、事業停止に至る可能性もあります。

 改正個人情報保護法では、匿名加工(*¹)をしないままデータを販売したり公開してしまうと、新設された「不正な利益を図る目的による個人情報データベース提供罪」に該当してしまいます。会社が犯罪を起こしたことになるため、ブランドの失墜や損害賠償の発生、そしてシステムの変更における業務の停止といった事態を引き起こすことになりかねません。さらに、従来の個人情報保護法で「取り扱う個人情報が5,000人以上」と定められていた適用対象が、5,000人以下にも適用されます。ほとんどの企業は従業員の個人情報を保管しているため、ほぼすべての企業が改正個人情報保護法の対象になるのです。またこれにより、改正個人情報保護法はいわゆるマイナンバー法を含む形となり、罰則も厳しくなっています。しかも、改正個人情報保護法は政令ですので、確実に準拠する必要があるのです。

 事業継続の為にはどのようなガイドラインに準拠すべきか

  認証制度やガイドラインは、省庁が認証を行うものから、業界団体が行う私的なものまで、業界毎に多数存在します。

  以下に紹介する認証制度やガイドラインへ準拠することは、セキュリティ対策が一定の水準を満たしていることを社外にアピールできるだけではなく、BCP(事業継続対策)の基本要件を満たすことにもつながります。

プライバシーマーク(Pマーク)制度

 個人情報保護を含むサイバーセキュリティ関連の認証制度で、一般財団法人日本情報経済社会推進協会(JIPDEC)が実施しています。これは、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。日本で最も普及している認証制度といえます。

ISMS

 JIPDECが認証を行う制度です。これは、国際標準規格である「ISO 27001」に準拠するもので、具体的な保護対策というよりは、PDCAサイクルに沿ったマネジメント視点での制度になり、情報資産をさまざまな脅威から守り、リスクを軽減させるための仕組みを確立し、維持継続するための要求事項が含まれます。

 PCI DSS(Payment Card Industry Data Security Standards

 クレジットカード情報を扱う場合に考慮すべき国際基準で、国際カードブランド5社が、クレジットカード情報や取引情報の保護を目的とし、2004年に共同で策定したもの。これは、具体的なセキュリティ対策の実装に関する視点で、ネットワークアーキテクチャやソフトウェアデザイン、ポリシー、プロシージャなどに関する12の「要件」に分類された詳細基準が含まれています。

中小企業の情報セキュリティ対策ガイドライン(第2版)

IPA(独立行政法人 情報処理推進機構)が2016年11月に公開したガイドラインです。中小企業の経営者・情報資産管理者やIT担当者が、情報セキュリティ対策の必要性を理解し、情報を安全に管理するための具体的な手順等を示したもので、2009年の初版以来の改訂となっています。新たな脅威などを踏まえて内容を刷新するとともに、経営者観点での情報セキュリティの必要性や管理者が組織的な対策を講じる際の具体的な手引きなどを追記しています。

 特にISMSとPCI DSSは、認証を得ることで自社のセキュリティ対策がグローバルレベルで高いことを証明でき、信頼を得るとともに、高いセキュリティ環境を構築することにも寄与します。とはいえ、認証を得るハードルは意外に高いので、本当に自社に必要であるのかを検討すべきでしょう。一方で、こうした認証制度に準拠していながら情報漏えい事件を起こしてしまうと、認証を剥奪されることもあります。現在はセキュリティ上の事件で会社が傾いてしまうことも少なくないのです。

  最後に、上記の認証制度やガイドラインへ準拠することがBCP(事業継続対策)の基本要件を満たすことにもつながると書きましたが、本格的なBCP対策にはさらに一歩踏み込んで自社に合ったBCPを考える必要があります。内閣府による「事業継続ガイドライン」、経済産業省による「事業継続計画策定ガイドライン」、中小企業庁による「中小企業BCP策定運用指針」などがありますので、参考にしましょう。

 
public-standard


*1 匿名加工

 例えば、交通系ICカードから得られる移動履歴や、ICポイントカードなどから得られる購買履歴などは、かなり詳細な情報が記載されており、他のデータと突き合わせることで個人を特定できてしまいます。しかし、移動履歴や購買履歴などの情報は、マーケティングや商品開発に非常に有効です。

 そこで、個人の特定ができないよう、これらのデータを修正します。たとえば、「○度○分○秒」となっている位置情報を「○度○分」に修正したり、秒まで記録されている時間のデータを「○時台」にする、店名を「実店舗」と「ネットショップ」に、商品名を「衣料品」「食料品」などカテゴリ名に、価格を「○円以下」などに修正します。
https://bcblog.sios.jp/wp-content/uploads/2016/11/anonymization.jpg

SNSでもご購読できます。